Обложка канала

Mobile AppSec World. Страница 14

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    Отличный канал по iOS разработке Я нечасто делюсь различными каналами, но в данном случае, не могу не поделиться, нашёл классный канал об iOS-разработке. Автор пишет много и интересно про различные нюансы iOS разработки и особенности работы приложений. Иногда проскакивает материал и по нашей тематике. например про утечки памяти (тут и тут можно посмотреть). Вообще для меня разработка на iOS всегда была сильно сложнее Android, но это и логично, в одном случае более менее понятная Java, возможность собирать приложения в любой операционке, открытый API. А в другом случае, это только Mac и иногда о внутренностях приходится либо догадываться, либо искать доклады, где люди реверсят различные механизмы iOS. Так что в части поиска различных решений и подсказок по iOS разработке, думаю, что не раз еще обращусь к автору канала) И кстати, сегодня вышла отличная статья на Хабр на тему, почему Apple может не пропустить ваше приложение в свой магазин. Спойлер - потому что потому :D Вот с Google таких проблем нет, моя малварь до сих пор там живет и собирает лайки от довольных пользователей "Калькулятора для бухгалтера" 😂 #iOS #development #teelegram
    iOS Dev

    iOS разработчик, который делится фишками, своим опытом и опытом других. В этом канале вы сможете найти истории из жизни, подходы к реализации а также новости и тренды из мира iOS-разработки #iOS #development #mobile #apple #iOSDev

    Telegram
  • Mobile AppSec World

    Новости мобильной безопасности. Эпизод 3. Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности! Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь) Всем хорошей пятницы и хорошо отдохнуть на выходных! #habr #news #awesome
    Неделя мобильной безопасности (23-29 апреля)

    Привет, Хабр!Продолжая серию мини-дайджестов по мобильной безопасности, посмотрим, что интересного появилось с 23 по 29 апреля.НовостиURI Spoofing в клиенте мессенджера Signal для iOSДостаточно...

    Хабр
  • Mobile AppSec World

    Frida хуки из smali кода Вслед за интеграциями с Frida декомпиляторов jadx и jeb, теперь можно получить хуки на нужные классы из smali файлов! Автор репозитория, правда не расщедрился на описание и ограничился командой на запуск (внимание, требуется минимум Java 11): java Smali2Frida "/directory/to/smalifolder" >script.js Понять что там происходит, можно только запустив эту команду 😀 А по факту, после выполнения команды мы получаем js-файлик с хуками на все классы и методы внутри выбранной директории. Как один из примеров получившегося кода:
    Java.perform(function() {
        var klass7 = Java.use("com.swdf.buggen.MainActivity");
    
        klass7["$init"].overload().implementation = function()
        {
            var ret = this["$init"]();
            console.log("<init>", "called : ", ret);
            return ret;
        }
        ...
    
    
    Может быть достаточно удобно, если нужно повесить много хуков и посмотреть, что и в каком порядке вызывается Но, конечно, так как это опенсорс, никто не гарантирует, что это будет работать в рантайме :) #android #smali #frida
    GitHub - apkunpacker/Smali2Frida

    Contribute to apkunpacker/Smali2Frida development by creating an account on GitHub.

    GitHub
  • Реклама

  • Mobile AppSec World

    Очень хитрая и интересная малварь Обычно я не люблю статьи про анализ разных вирусов и прочей малвари под Android, так как в них в 90% случаев нет ничего особенного и интересного. Такое ощущение, что их просто делают под копирку и собирают из нескольких доступных исходников с небольшой модификацией. Однако в этой статье рассказывается про очень интересную и достаточно хитрую малварь, которая не реализует классический DexClassLoader для подгрузки и запуска полезной нагрузки, а использует механизм MultiDexApplication с небольшими изменениями (изменены имена файлов, локация для сохранения, а также реализована предварительная расшифровка dex-файла). Хорошо, что ключ шифрования по традиции сохраняется в исходном коде 🙄 В общем, достаточно интересный пример, можно взять на вооружение для ctf, например. #android #malware #multidex #research
    Multidex trick to unpack Android/BianLian

    This article explains how to unpack sample sha256 5b9049c392eaf83b12b98419f14ece1b00042592b003a17e4e6f0fb466281368 which was served from…

    Medium
  • Mobile AppSec World

    Удаленное выполнение кода в Adobe Acrobat Reader для Android Исследователь обнаружил возможность выполнения произвольного кода в Adobe Reader через ставшей, не побоюсь этого слова, классической связкой между уязвимостями Path Traversal в getLastPathSegment() и подгрузкой через эту уязвимость нативной библиотеки, где в методе JNI_OnLoad вызывается зловредный код. Конечно, уже есть оперативный фикс от adobe и за эту багу выплатили 10К, что весьма и весьма достойно! Статья хорошо описывает весь путь, без лишней воды. И даже фикс показал :)) Хорошего чтения и может, это поможет вам при анализе 😉 #android #adobe #rce
    RCE in Adobe Acrobat Reader for android(CVE-2021-40724)

    # Summary While testing Adobe Acrobat reader app , the app has a feature which allows user to open pdfs directly from http/https url. This feature was vulnerable to path traversal vulnerability. Abode reader was also using Google play core library for dynamic code loading. using path traversal bug and dynamic code loading,i was able to acheive remote code execution.

    hulkvision.github.io
  • Mobile AppSec World

    Mobius — конференция по мобильной разработке от JUG Ru Group, в формате online+offline 🔥 Online-часть: 25–27 мая. Offline-день: 22 июня. Вас ждут выступления, посвященные трендам и новым технологиям, обмен опытом и общение с коллегами в чатах. А на offline-дне можно вживую пообщаться со спикерами, лично познакомиться с единомышленниками и потусоваться у партнерских стендов. Некоторые темы выступлений: – Как разработчики вернули к жизни приложение для сотрудников розничной сети МТС. – Что такое подход Dependency Injection, какие DI-фреймворки существуют и чем они могут быть полезны. – Как атрибут inlinable влияет на производительность и компиляцию кода на Swift. – Какие проблемы могут возникнуть при использовании Koin в растущем Android-приложении и как их решать. Для подписчиков канала организаторы сделали промокод, который поможет купить персональный билет со скидкой: maw2022JRGpc Билеты и подробности на сайте.
  • Mobile AppSec World

    Скидка на конференцию Mobius Как вы знаете, я не публикую рекламу или прочую ерунду, если она не приносит никакой потенциальной пользы или не в тематике канала. Вот ребята из Мобиус таки решили провести конференцию и предлагают скидку подписчикам канала по коду maw2022JRGpc Так что, если планировали пойти, можно немного сэкономить 😄
  • Mobile AppSec World

    Получение root на эмуляторе с Google Play На эмуляторах с установленным Google Play не так-то просто было получить полноценный root-доступ. Я писал про репозиторий, который позволяет получить постоянный root на эмуляторе, но во первых он только для эмуляторов без Google Play, там достаточно сложная последовательность скриптов и репозиторий уже в архиве😀 Но вот инструмент, который обещает нам получение рута на эмуляторе вплоть до 12-го Android. Но это не совсем привычный нам root доступ вообще, а только для конкретного процесса (включая демона adb). Что интересно, права выдаются «на лету», то есть никаких специальных действий с самим эмулятором делать не нужно. Чтобы понять, как это работает, можно посмотреть описание репозитория, идея из которого была реализована для более старших версий Android. Весьма полезная вещь может быть для анализа приложений. #android #emulator #rooting #gdb
    Mobile AppSec World

    Постоянный root на эмуляторе Замечательный @testing_guy прислал свеженький репозиторий (всего пара дней ему), с интересной функциональностью рутования андроид эмулятора. Я сначала не мог понять, зачем это нужно, ведь эмуляторы без Google Play Services идут из коробки вместе с root пользователем. Но потом вспомнил то время, когда я использовал Xposed. Действительно, root на Android эмуляторах есть, но он не такой же, как если бы вы получили его на реальном девайсе. Как минимум, при загрузке эмулятора adb server стартует из под обычного пользователя. То есть, если необходим фреймворк для анализа, такой, как Xposed, этот вариант не подойдёт, эти инструменты требуют постоянного и полноценного рута со всеми необходимыми бинарями, вроде su. В сети есть много гайдов по тому, как зарутовать эмулятор, но они все датированы достаточно лохматым годом и почти не работают. Я в свое время написал для этого свои скрипты, которые работали на 7-м Android. Автор же этой утилиты (набора скриптов), предлагает способ автоматизации…

    Telegram
  • Mobile AppSec World

    И снова про App Transport Security: что это и зачем Всем привет! Очень часто при анализе iOS-приложений мы встречаем выключенный App Transport Security для всего приложения. И на вопросы, почему его выключили, обычно отвечают, что его не хочется настраивать и слишком много доменов, для которых нужно делать исключение. Сначала я был с ними согласен, потому что действительно, штука не однозначная. Но разобравшись, я подумал, что благодаря этой настройке можно не только контролировать сетевое взаимодействие приложения но и частично тестировать корректную настройку backend, потому что с неправильной конфигурацией на стороне сервера клиент к нему просто не подключится. А если к этому добавить возможность прикрепления сертификатов по аналогии с Андроидовским Network Security Config, и посмотреть более внимательно, как его настраивать, то можно получить очень даже удобный инструмент для настройки сетевого взаимодействия. Исходя из всех этих соображений я написал статью, посвященную теме App Transport Security, как его настраивать, что означают ключи, как сделать прикрепление сертификатов, как проверить настройку backend и многое другое! Надеюсь, что вам пригодится это в работе! Ну или тем, кто когда-то начнет работать с iOS и будет искать материалы по этой теме 😄 Всем хорошей недели! #iOS #AppTransportSecurity #network #habr
    И снова про App Transport Security: что это и зачем

    Привет, Хабр! Меня зовут Юрий Шабалин, и, как я пишу в начале каждой своей статьи, мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. В этой статье мне бы хотелось...

    Хабр
  • Mobile AppSec World

    И ещё один способ поставить сертификат в системные на эмуляторе Статья, носящая гордое название “Android Pentesting Setup On Mac M1” подразумевает под собой что-то интересное, учитывающее специфику нового чипа и вот это всё стильное, модное, молодежное. Но по факту это просто описание, как поставить Android Studio, создать и запустить эмулятор 😢 Но есть и небольшая польза, в статье описан, наверное, самый простой способ добавления сертификата от берпа в системные, это запуск эмулятора с доступным на запись системным разделом и простое копирование туда файла сертификата. Сертификаты системные лежат здесь /system/etc/security/cacerts. И все что нужно, это скачать и сконвертить сертификат от берпа и положить его в эту директорию. Ничего сложного, но статья описывает безумно подробно весь этот процесс. Возможно будет полезно, если не хочется ставить Magisk. #android #emulator #burp #proxy
  • Mobile AppSec World

    CVE-2021-1782 в XNU Vouchers subsystem По следам заметок и размышлений от Google Project Zero на тему уязвимости в iOS с парсингом ASN.1 формата, подоспела ещё одна отличная статья про уязвимость CVE-2021-1782. В ней много полезной информации о том, как устроена система Vouchers в ядре. Что это такое, зачем нужно, как работает, в чем был смысл уязвимости и представлен PoC, как её можно проэксплуатировать. На самом деле статья хорошая, но очень сложная для восприятия, если ты не погружен в специфику iOS и его внутренностей. Но если пропустить блоки с кодом, и прочитать теорию и заключение более вдумчиво, можно узнать много нового :) #iOS #kernel #cve
    Mobile AppSec World

    CVE-2021-30737 (Memory corruption in ASN.1 decoder) - Writeup по writeup’у Довольно интересную статью нашел, можно считать её описанием на описание уязвимости или writeup на writeup 😄 Оригинальный баг был найден в 2021 году и по нему написан достаточно увлекательное описание, как он был найден и в чем заключалась проблема. Новый пост это скорее заметки, дополнения и размышления, как мог произойти баг в парсинге и обработке ASN.1 в iOS и где ещё можно поискать подобные уязвимости. На самом деле читать такие статьи очень полезно, даже безотносительно самой уязвимости в iOS. Например, чтобы побольше узнать об ASN.1 и способах работы, учитывая что я с ним почти не сталкивался. Приятного чтения и хорошей недели! #iOS #vulnerability #writeup

    Telegram
  • Mobile AppSec World

    URI Spoofing в клиенте мессенджера Signal для iOS Достаточно необычная уязвимость в мессенджере Signal опубликовали исследователи. В клиенте нашли инъекцию RTLO (RightToLeftOverride), которые позволяли отправлять пользователям ссылки, которые выглядели как нормальные, но вели на совершенно другой домен (тот, который читался справа налево). К примеру, можно отправить ссылку: example.com/#files/ten.jpeg Вставить перед ней специальный символ «обратного чтения» и клиент загрузит на самом деле адрес: gepj.net/selif#/moc.elpmaxe Гениально)) Регистрируем нужные домены и вперёд! Интересная техника, раньше о ней не слышал, надо будет как-нибудь проверить при анализе приложений, как они обрабатывают подобные символы #ios #signal #vulnerability
    CVE-2022-28345 - Signal client for iOS version 5.33.2 and below are vulnerable to RTLO Injection URI Spoofing using malicious URLs such as gepj.net/selif#/moc.elpmaxe which would appear as example.com/#files/ten.jpeg - Sick Codes - Security Research, Hardware & Software Hacking, Consulting, Linux, IoT, Cloud, Embedded, Arch, Tweaks & Tips!

    Title CVE-2022-28345 – Signal client for iOS version 5.33.2 and below are vulnerable to RTLO Injection URI Spoofing using malicious URLs such as gepj.net/selif#/moc.elpmaxe which would appear as example.com/#files/ten.jpeg CVE ID CVE-2022-28345 CVSS Score N/A Internal IDs SICK-2022-42 Vendor Signal Product Signal iOS Client Product Versions 5.33.2 and below Vulnerability Details An additional RTLO Injection […]

    Sick Codes - Security Research, Hardware & Software Hacking, Consulting, Linux, IoT, Cloud, Embedded, Arch, Tweaks & Tips!
  • Mobile AppSec World

    Вторая серия подборки Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю. Эксперимент оказался вполне успешным, по крайнере мере негатива не было =) И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке? Если не сложно, отметьте, нужно такое или нет =) #quiz #habr #news #awesome
    Неделя мобильной безопасности (16-22 апреля)

    Привет, Хабр!Поскольку прошлый мини-дайджест вызвал интерес, буду продолжать радовать вас новостями мобильной безопасности за прошедшую неделю. А теперь о том, что произошло с 16 по 22...

    Хабр
  • Mobile AppSec World

    Сборник WriteUp по уязвимостям приложений Facebook Нашел занятный репозиторий, который собирает в себе все описания найденных багов в приложениях Facebook, включая WhatsUp, Instagram и прочие сервисы компании. Сразу в едином месте можно посмотреть всё, что было найдено в разных версиях и сколько за это получили исследователи :) ну и там не только приложения, но и любые баги в Web в том числе. Так что, если вы нашли багу в приложениях этой компании и написали WriteUp, можно смело создавать PR 😉 #writeup #facebook #bugbounty
    Facebook-BugBounty-Writeups/README.md at main · jaiswalakshansh/Facebook-BugBounty-Writeups

    Collection of Facebook Bug Bounty Writeups. Contribute to jaiswalakshansh/Facebook-BugBounty-Writeups development by creating an account on GitHub.

    GitHub
  • Mobile AppSec World

    Разбор очередного калькулятора для шифрования фото. В прошлый раз, под маской калькулятора для хранения фотографий скрывался DES с вшитым в код паролем «12345678» и более чем 10 млн установок. Посмотрим, что на этот раз скрывается под капотом. Статья, подробно разбирающая используемые технологии и механизмы шифрования, используемые в приложении «Secret Calculator Photo Vault». А внутри использование Facebook Conceal API в связке с получением ключа из пина пользователя на основе PBKDF2. Достаточно прикольная статья, описывающая процесс понимания того, как именно зашифрованы данные и что нужно сделать, чтобы их расшифровать. Ну и вишенкой на торте, репозиторий автора со скриптами для брутфорса пина и расшифровкой медиа файлов, И всё таки меня не покидает вопрос, почему именно калькуляторы? Почему в большинстве случаев именно они призваны скрывать фото? :) #calculator #photovault #android #encryption
    Android Guards

    Чего только порой не встретишь. Вот например калькулятор, который умеет прятать ваши фотографии в защищенном хранилище. На проверку, ну конечно же, оказался полным шлаком с DES шифрованием и статическим ключом "12345678" зашитым в коде. По ссылке найдете краткий разбор этого чуда. Отличная вещь, чтобы начать рабочую неделю с улыбки https://github.com/Magpol/decrypt-calculatorPlusApk

    Telegram
  • Реклама

  • Mobile AppSec World

    Анализ приложения под DexGuard Очень мне понравилась статья про анализ приложения для MDM (Mobile Device Management), которое оказалось защищено при помощи DexGuard. В статье автор очень подробно рассказывает про все этапы анализа, особенности DexGuard, различие имплементации AES классического и в исполнении DexGuard и многое другое, что очень интересно почитать и поизучать. Ну и вывод, который можно сделать из всего этого, даже если ты используешь DexGuard, и с его помощью шифруешь строки, то не стоит забывать, что оставлять креды в конфигах приложения не стоит в любом случае, особенно администраторские 😉 Так что шифруйте и храните свои данные правильно! #Android #dexguard
  • Mobile AppSec World

    Как работают обновления в Android Очень подробная и крутая статья про то, как работают обновления внутри Android. Много сказано про механизм TREBLE (способ разделения Android на две независимые части, призванные решить проблемы фрагментации Android и доставки патчей на устройства различных производителей), про тестирование обновлений, в принципе про процесс , про производителей и много-много других очень интересных вещей. Тем, кто интересуется, как устроена система внутри и что происходит «за сценой» обязательно к прочтению. Да и всем остальным, тоже, думаю будет полезно почитать. Кода в статье нет, это чисто описание различных процессов и технологий (да и автор уверяет, что многие вещи под NDA, так что публиковать это нельзя). Приятного чтения! #Android #Trebble #updates #article
    How Android updates work: A peek behind the curtains from an insider

    Updates on Android were always a topic of discussion in the tech communities. Even though they are a crazily complicated topic and very few…

    Medium
  • Mobile AppSec World

    Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом". Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей. Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм. Я старался, так что, надеюсь, вам понравится! Всех с понедельником и хорошей недели! #Habr #SSL #Pinning
    Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом

    Привет, Хабр!Меня зовут Юрий Шабалин, как вы, наверное, уже знаете, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и Android....

    Хабр